Azure 原則 已啟用 Azure Arc 的 Kubernetes 內建定義
此頁面是已啟用 Azure Arc 的 Kubernetes Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
已啟用 Azure Arc 的 Kubernetes
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
| [預覽]:Azure 備份延伸模組應該安裝在 AKS 叢集中 | 請確定在您的 AKS 叢集中保護備份延伸模組安裝,以利用 Azure 備份。 適用於 AKS 的 Azure 備份是適用於 AKS 叢集的安全和雲端原生資料保護解決方案 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | DeployIfNotExists, Disabled | 7.3.0-preview |
| [預覽]:在具有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。 | 安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。 在包含指定標籤的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [預覽]:在沒有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。 | 安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。 在沒有特定標籤值的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [預覽]:Kube 叢集應限制指定資源類型的建立 | 指定的 Kube 資源類型不應部署在特定命名空間中。 | Audit, Deny, Disabled | 2.3.0 預覽 |
| 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應使用 Azure Arc 私人連結範圍設定已啟用 Azure Arc 的 Kubernetes 叢集 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
| 已啟用 Azure Arc 的 Kubernetes 叢集應已安裝 Open Service Mesh 延伸模組 | Open Service Mesh 延伸模組提供所有標準服務網格功能,用於應用程式服務的安全性、流量管理和觀察性。 在這裡深入了解:https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Strimzi Kafka 延伸模組 | Strimzi Kafka 延伸模組提供運算子來安裝 Kafka,以建置即時資料管線,以及具有安全性與可檢視性功能的串流應用程式。 在以下位置深入了解:https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 請設定已啟用 Azure Arc 的 Kubernetes 叢集,以安裝 Azure 原則延伸模組 | 部署 Azure Arc 的 Azure 原則延伸模組以提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 請至https://aka.ms/akspolicydoc,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.1.0 |
| 將已啟用 Azure Arc 的 Kubernetes 叢集設定為使用 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
| 設定 Kubernetes 叢集上的 Flux 延伸模組安裝 | 在 Kubernetes 叢集安裝 Flux 延伸模組,以在叢集中啟用 'fluxconfigurations' 部署 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用 KeyVault 中的貯體來源和祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要 Key Vault 中儲存的貯體 SecretKey。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用 Git 存放庫和 HTTPS CA 憑證,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 HTTPS CA 憑證。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.1 |
| 使用 Git 存放庫和 HTTPS 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Key Vault 中儲存的 HTTPS 金鑰祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用 Git 存放庫和本機祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用 Git 存放庫和 SSH 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Key Vault 中儲存的 SSH 私密金鑰祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用公用 Git 存放庫,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用本機祕密,以指定的 Flux v2 Bucket 來源來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用採用 HTTPS 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要儲存在金鑰保存庫中的 HTTPS 使用者和金鑰密碼。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 使用未使用祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 使用採用 SSH 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要在金鑰保存庫中使用 SSH 私密金鑰密碼。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 請確認叢集容器已設定整備或活躍度探查 | 此原則會強制所有 Pod 都已設定整備度探查和/或活躍度探查。 探查類型可以是任何 tcpSocket、HTTPGet 和 exec 任一個。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請造訪 https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.3.0 |
| 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
| Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集中的容器不得使用禁止的 sysctl 介面 | 容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
| Kubernetes 叢集中的容器只能使用允許的 ProcMountType | Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
| Kubernetes 叢集容器應只使用允許的提取原則 | 限制容器的提取原則略,以強制容器在部署上只使用允許的映像 | Audit, Deny, Disabled | 3.2.0 |
| Kubernetes 叢集中的容器只能使用允許的 seccomp 設定檔 | Pod 容器只會在 Kubernetes 叢集中使用允許的 seccomp 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
| Kubernetes 叢集中的 Pod FlexVolume 磁碟區只能使用允許的驅動程式 | Pod FlexVolume 磁碟區只能在 Kubernetes 叢集中使用允許的驅動程式。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集 Pod 及容器只應使用允許的 SELinux 選項 | Pod 和容器只能在 Kubernetes 叢集中使用允許的 SELinux 選項。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集中的 Pod 只能使用允許的磁碟區類型 | Pod 在 Kubernetes 叢集中只會使用允許的磁碟區類型。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集 Pod 應使用指定的標籤 | 使用指定的標籤來識別 Kubernetes 叢集中的 Pod。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
| Kubernetes 叢集服務只可使用允許的外部 IP | 使用允許的外部 IP 來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
| Kubernetes 叢集不應使用裸 Pod | 封鎖使用祼 Pod。 若節點失敗,不會重新排程祼 Pod。 Pod 應由 Deployment、Replicset、Daemonset 或 Jobs 管理 | Audit, Deny, Disabled | 2.2.0 |
| Kubernetes 叢集 Windows 容器不應過度認可 CPU 與記憶體 | Windows 容器資源要求應小於或等於資源限制或未指定,以避免過度認可。 如果 Windows 記憶體佈建過多,則會處理磁碟中的分頁,這樣會降低效能,而不是終止記憶體不足的容器 | Audit, Deny, Disabled | 2.2.0 |
| Kubernetes 叢集視窗容器不應以容器管理員身分執行 | 避免以使用者身分利用容器管理員來執行 Windows Pod 或容器的容器處理序。 這個建議目的在於提高 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.2.0 |
| Kubernetes 叢集 Windows 容器應只使用核准的使用者與網域使用者群組執行 | 控制 Windows Pod 和容器可用來在 Kubernetes 叢集中執行的使用者。 此建議是 Windows 節點上 Pod 安全性原則的一部分,其目的是為了改善 Kubernetes 環境的安全性。 | Audit, Deny, Disabled | 2.2.0 |
| Kubernetes 叢集 Windows Pod 不應該執行 HostProcess 容器 | 防止對 Windows 節點的特殊權限存取。 這個建議目的在於提高 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.0.0 |
| Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
| Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
| Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集不應允許 ClusterRole/system: 彙總到編輯的端點編輯權限 | 因為 CVE-2021-25740,ClusterRole/system:aggregate-to-edit 不應該允許端點編輯權限,端點與 EndpointSlice 權限允許跨命名空間轉寄,https://github.com/kubernetes/kubernetes/issues/103675。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Disabled | 3.2.0 |
| Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
| Kubernetes 叢集不應使用特定的安全性功能 | 避免使用 Kubernetes 叢集中的特定安全性功能,以防止未授與權限存取 Pod 資源。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
| Kubernetes 叢集應使用容器儲存體介面 (CSI) 驅動程式 StorageClass | 容器儲存體介面 (CSI) 是一種標準,可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。 樹狀結構內佈建程式 StorageClass 應自 AKS 1.21 版起淘汰。 若要深入了解,https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
| Kubernetes 資源應該有必要的注釋 | 請確保已在指定的 Kubernetes 資源種類上附加必要的注釋,以改善您 Kubernetes 資源的資源管理。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.2.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。